мониторинга провайдера со стороны СВК кредитной организации по данным вопросам.

Другим вариантом может быть периодический мониторинг качества организации работы по обеспечению информационной безопасности и конфиденциальности информации специализированными аудиторскими компаниями. В этом случае в документах, о которых идет речь, может содержаться положение о возможности доступа специалистов СВК или службы информационной безопасности (СИБ) к актам или другим документам, подготовленным аудиторами.

Хорошей практикой является наличие у провайдера собственных СВК и СИБ либо отдельных квалифицированных в данной области специалистов.

Наличие таких специалистов, очевидно, стало бы фактором, повышающим эффективность взаимодействия кредитной организации и провайдера по обозначенным вопросам.

В случае, когда провайдер (в силу финансового состояния или объемов бизнеса) не обладает такими СВК и СИБ, становится очевидной необходимость наличия документов, регламентирующих взаимодействие кредитной организации и провайдера по данным вопросам. Отсутствие у провайдера таких документов и служб является фактором, значительно повышающим риски.

Следует отметить, что основная ответственность перед клиентами за обеспечение информационной безопасности и конфиденциальности клиентской информации ложится на кредитную организацию. Качественная организация взаимодействия с провайдерами является лишь одним из факторов (хотя и значительным) обеспечения «прозрачности» и уменьшения риска нарушения целостности, потери или утечки данных о клиенте и его операциях посредством СЭБ.

Кредитная организация определяет методы обеспечения информационной безопасности и конфиденциальности информации, к которым могут относиться:

1) общий мониторинг источников рисков, связанных с деятельностью провайдера;

2) оценка и мониторинг финансового состояния провайдера, в том числе:

– частоты сменяемости топ-менеджмента;

– текучести кадров;

– стабильности развития бизнеса, частоты изменения основных направлений бизнеса;

– профессиональных навыков и опыта работы ключевых сотрудников в области информационных технологий, непосредственно связанных с особенностями реализации СЭБ;

3) разработка и использование специализированных процедур оценки технологических особенностей провайдера, возможностей его оборудования и т. д.;

4) разработка и использование совместной или согласованной между кредитной организацией и провайдером политики обеспечения информационной безопасности и конфиденциальности информации;

5) разработка и использование процедур, обеспечивающих информирование клиентов кредитной организации о состоянии информационной безопасности и конфиденциальности их данных, о способах противодействия и предупреждения угроз информационной безопасности и конфиденциальности информации и т. д.

Обеспечение непрерывности функционирования СЭБ

Другим немаловажным фактором, который необходимо учитывать уже на этапе разработки СЭБ, является обеспечение непрерывности ее функционирования, возможности системы быстро восстанавливать свою работоспособность в случае непредвиденных сбоев и других проявлений источников рисков.

Положения в части обеспечения непрерывности функционирования СЭБ рекомендуется включать как в договоры с провайдерами и поставщиками, так и во внутренние документы кредитной организации. Эти положения должны четко разграничивать ответственность за обеспечение непрерывности функционирования системы между кредитной организацией, провайдерами и поставщиками оборудования и программного обеспечения, используемого в составе информационного контура системы.

Например, необходимо отразить следующие моменты:

– конкретные временные ограничения по устранению сбоев и неисправностей в поставленном контрагентами по договору оборудовании или программном обеспечении;

– ответственность провайдера за предоставление резервного канала связи, который может быть задействован в короткие сроки и обеспечивать должное качество связи.

В кредитной организации должны быть разработаны соответствующие внутренние документы, описывающие:

– функции структурных подразделений кредитной организации в части обеспечения непрерывности функционирования СЭБ и процедуры реализации данных функций;

– порядок информирования органов управления кредитной организации и других структурных подразделений, а также клиентов кредитной организации о возникновении нештатных ситуаций, способных привести к нарушению непрерывности функционирования СЭБ, и реализуемых или требуемых мероприятиях, направленных на устранение причин;

– план обеспечения непрерывности и восстановления работоспособности СЭБ;

– методики стресс-тестирования в части непрерывности функционирования СЭБ.

При разработке указанных документов кредитной организации следует учитывать все наиболее вероятные сценарии, способные привести к нарушению непрерывности функционирования СЭБ. К их числу могут относиться:

– сетевые (хакерские) атаки на ресурсы кредитной организации или провайдера;

– механическое нарушение основного и дублирующего каналов связи с провайдером;

– выход из строя сервера баз данных СЭБ;

– выход из строя сервера приложений СЭБ;

– временное отключение электроэнергии в сети;

– отключение резервного источника электропитания СЭБ;

– воздействие компьютерных вирусов на СЭБ или на ее отдельные модули.

Ключевым документом, разработанным в целях обеспечения непрерывности функционирования СЭБ, является план обеспечения непрерывности и восстановления работоспособности системы. Такой план должен основываться на перечне наиболее критичных для работоспособности СЭБ воздействий.

В целях обеспечения эффективности плана данные воздействия могут быть классифицированы по степени возможного материального ущерба кредитной организации и ее клиентам, а также по вероятности их возникновения.

В отношении каждого из видов возможного воздействия на СЭБ план должен предусматривать соответствующие действия кредитной организации, ее клиентов и провайдеров. Наиболее подробно должны быть прописаны внутренние восстановительные процедуры самой кредитной организации с описанием действий ее внутренних подразделений, а также с указанием временных параметров осуществления данных процедур.

Помимо процедур восстановления работоспособности СЭБ план должен предусматривать процедуры по организации проведения операций клиентов альтернативными способами (без использования СЭБ) в наиболее короткие сроки.

Процедуры, регламентированные планом, должны учитывать зафиксированное в договорах с поставщиками программного обеспечения и оборудования распределение ответственности.

Качественная разработка плана должна учитывать возможные действия в целях реагирования на сбои не только кредитной организации, но и провайдеров, а также возможности оперативного привлечения к устранению неисправностей других организаций, оказывающих сервисные услуги в области информационных технологий.

Помимо плана обеспечения непрерывности функционирования СЭБ в кредитной организации должны быть регламентированы:

– способы мониторинга СЭБ, ее внешней и внутренней среды с целью выявления и предупреждения воздействий, способных нарушить непрерывность функционирования системы;

– методики оценки ущерба (материального и нематериального) в случае негативных воздействий или кризисных ситуаций;

– процедуры и рекомендации по уведомлению клиентов в случае нарушения непрерывности функционирования СЭБ.

Целесообразно создать в кредитной организации службу поддержки клиентов в части функционирования СЭБ.

Антикризисная комиссия

Также в целях координации деятельности структурных подразделений в условиях возникновения сбоя и приостановки работы СЭБ (в соответствии с закрепленными за ними функциями по устранению нарушений в работе СЭБ и организации альтернативных способов проведения операций) в кредитной организации распоряжением ее руководства может быть сформирована антикризисная группа или комиссия из руководителей соответствующих подразделений, в состав которой могут входить руководители:

– службы информационных технологий;

– службы информационной безопасности;

– службы операционной работы;

– службы хозяйственного обеспечения;

– службы по связям с общественностью;

– юридической службы;

– других служб (при необходимости).

Основными задачами членов комиссии являются правильная классификация нештатных ситуаций[127] и выбор процедур реагирования в соответствии с планом обеспечения непрерывности функционирования СЭБ.

Так, например, право наделять отрицательное воздействие внешнего фактора на деятельность банка статусом «кризисная ситуация» и предлагать соответствующие процедуры предоставляется:

– по вопросам электроснабжения – члену антикризисного комитета, руководителю службы хозяйственного обеспечения;

– по вопросам качества систем связи – члену антикризисного комитета, начальнику управления информатики;

– по вопросам репутационного риска – члену антикризисного комитета, руководителю службы по связям с общественностью;

– по вопросам возникших правовых коллизий, связанных с обслуживанием клиентов посредством СЭБ, – руководителю юридической службы и т. д.

Окончательное решение о работе банка по антикризисному плану принимает председатель антикризисной комиссии. То есть поддержка функционирования банка в нештатной ситуации в соответствии с ее характером, координация деятельности структурных подразделений, руководителей и отдельных сотрудников возлагаются на председателя антикризисной комиссии.

Условием для принятия такого решения является наступление события, квалифицируемого как кризисная ситуация.

Председателем антикризисной комиссии может быть либо руководитель кредитной организации, либо